既知の問題解決 - AWS での自動化されたセキュリティ対応

既知の問題解決

  • 問題: このソリューションのデプロイは、リソースが Amazon CloudWatch で既に使用可能であることを示すエラーで失敗します。

    解決策: CloudFormation リソース/イベントのセクションで、ロググループが既に存在することを示すエラーメッセージがないかを確認します。SHARR デプロイ用のテンプレートを使用すると、既存のロググループを再利用できます。再利用が選択されていることを確認します。

  • 問題: プレイブックのネストされたスタックで EventBridge ルールを作成できないというエラーが発生し、ソリューションのデプロイに失敗します。

    解決策: デプロイされたプレイブックの数により、EventBridge ルールのクォータが上限に達した可能性があります。これを回避するには、Security Hub の統合されたコントロールの検出結果をこのソリューションの SC プレイブックと組み合わせて使用するか、使用する標準用のプレイブックのみをデプロイするか、EventBridge ルールのクォータの引き上げをリクエストします。

  • 問題: 同じアカウントで、Security Hub を複数のリージョンで実行しています。このソリューションを複数のリージョンにデプロイしたいです。

    解決策: Security Hub の管理者と同じアカウントおよびリージョンに管理者スタックをデプロイしする必要があります。Security Hub のメンバーが設定されている各アカウントとリージョンにメンバーテンプレートをインストールします。Security Hub で集約を有効にします。

  • 問題: デプロイ直後に、SO0111-SHARR-Orchestrator が次の 502 エラーで Get Automation Document State で失敗します。「Lambda was unable to decrypt the environment variables because KMS access was denied. Please check the function's KMS key settings. KMS Exception: UnrecognizedClientExceptionKMS Message: The security token included in the request is invalid. (Service: AWSLambda; Status Code: 502; Error Code: KMSAccessDeniedException; Request ID: …

    解決策: 修復を実行する前に、このソリューションが安定するまで約 10 分待ちます。問題が解決しない場合は、サポートチケットを切るか、GitHub の Issue に登録してください。

  • 問題: 検出結果の修復を試みましたが、何も起こりませんでした。

    解決策: 修復されなかった理由がないか、検出結果のメモを確認してください。一般的な原因は、この検出結果に自動修復機能がないことです。現時点では、メモ以外に修復が存在しない場合は、ユーザーに直接フィードバックを提供する方法はありません。このソリューションのログを確認してください。コンソールで CloudWatch Logs を開いてください。SO0111-SHARR CloudWatch Logs グループを見つけます。最近更新されたストリームが最初に表示されるようにリストを並べ替えてください。実行しようとした検出結果のログストリームを選択します。そこでエラーが見つかるはずです。失敗の原因としては、検出結果の制御と修復の制御の不一致、クロスアカウントの修復 (まだサポートされていない) 、または検出結果がすでに修正されていることが考えられます。失敗の原因を特定できなかった場合は、ログを収集し、サポートチケットを切ってください。

  • 問題: 修復を開始した後に、Security Hub コンソールのステータスが更新されていません。

    解決策: Security Hub コンソールでは、自動的に更新されません。現在のビューを更新してください。検出結果のステータスが更新されます。検出結果が Failed から Passed に移行するまでに数時間かかる場合があります。検出結果は、AWS Config などの他のサービスから AWS Security Hub に送信されたイベントデータから作成されます。ルールが再評価されるまでの時間は、基盤となるサービスによって異なります。これで問題が解決しない場合は、上記の「検出結果の修復を試みましたが、何も起こりませんでした」の解決方法を参照してください。

  • 問題: オーケストレーターステップ関数で、Get Automation Document State が失敗します。「An error occurred (AccessDenied) when calling the AssumeRole operation.

    解決策: SHARR が検出結果の修復を試みているメンバーアカウントにメンバーのテンプレートがインストールされていません。メンバーテンプレートをデプロイするための手順に従ってください。

  • 問題: レコーダーまたは配信チャネルが既に存在するため、Config.1 のランブックが失敗します。

    解決策: AWS Config の設定を慎重に調べて、Config が正しく設定されていることを確認してください。自動修復では、場合によっては、既存の AWS Config 設定を修正できません。

  • 問題: 修復は成功しているが、"No output available yet because the step is not successfully executed." のメッセージが返される

    解決策: これは、「特定の修復ランブックがレスポンスを返さない」というこのリリースの既知の問題です。修復ランブックは正常に失敗し、動作しない場合にこのソリューションに通知します。

  • 問題: 解決に失敗して、スタックトレースが送信される

    解決策: 場合によっては、エラーメッセージではなくスタックトレースになるエラー状態に対処する機会を逃すことがあります。トレースデータから問題のトラブルシューティングを試みてください。サポートが必要な場合は、サポートチケットを切ってください。

  • 問題: カスタムアクションのリソースで v1.3.0 のスタックを削除できませんでした。

    解決策: カスタムアクションを削除すると、管理者用テンプレートの削除が失敗することがあります。これは既知の問題で、次のリリースで修正される予定です。このような場合は、次のようになります。

    1. AWS Security Hub マネジメントコンソールにサインインします。

    2. 管理者用のアカウントで、[設定] に移動します。

    3. [カスタムアクション] タブを選択します。

    4. Remediate with SHARR」のエントリを手動で削除します。

    5. 再度、スタックを削除します。

  • 問題: 管理者スタックを再度デプロイした後に、AssumeRole でステップ関数が失敗します。

    解決策: 管理者スタックを再度デプロイすると、管理者アカウントの管理者ロールとメンバーアカウントのメンバーロール間の信頼関係が切断されます。メンバーロールスタックをすべてのメンバーアカウントに再度デプロイする必要があります。

  • 問題: 24 時間を超えても CIS 3.x の修復が PASSED と表示されません。

    解決策: これは、メンバーアカウントに SO0111-SHARR_LocalAlarmNotification SNS トピックへのサブスクリプションがない場合によく発生します。